Scoperte 8 applicazioni vendute su Google Play capaci di infettare lo smartphone con il malware Android/TrojanDropper.Agent.BKY. Ecco quali software bisogna evitare

Allarme malware per i sistemi Android. Un team di ricerca di ESET ha identificato un software capace di danneggiare lo smartphone attraverso una semplice applicazione. Il nome esatto del malware è Android/TrojanDropper.Agent.BKY e si trova in queste 8 app in vendita sullo store Google Play. Il motivo per cui questo malware si è diffuso è perché non richiede alcuna autorizzazione per “scatenarsi” e l’app appare all’utente come perfettamente funzionante e legittima.

Le 8 app da non scaricare

Secondo l’elenco stilato da ESET le 8 app da non scaricare sono MEX Tools, Cleaner for Android, Clear Android, World News, WORLD NEWS, World News PRO più altre due con, rispettivamente, i nomi-pacchetto gotov.games.toppro e slots.forgame.vul. Oltre a non scaricare nessuna di queste applicazioni, si consiglia di verificare la reputazione di un’app il cui nome risultasse di dubbia origine, nonché a installare e mantenere aggiornata la propria protezione antivirus.

Come funziona il malware

Ma come funziona il malware veicolato da queste app? Secondo gli esperti, per evitare di essere individuato, questo virus utilizza tecniche di offuscamento basate su cifratura e un’architettura multistadio.

Una volta lanciata una delle app infette, il codice mette in atto il primo stadio di payload, un sistema con cui il programma contamina il sistema operativo. Questa funzione permette al malware di decifrare ed eseguire un secondo stadio, memorizzato tra le risorse dell’app scaricata da Google Play.

In questo secondo passaggio viene così scaricata un’altra applicazione dannosa da una url codificata al suo interno, dando il via al terzo stadio dell’infezione informatica. Tutto ciò senza che l’utente se ne renda conto, finché non viene richiesto all’utente di installare l’app di terzo stadio, scaricata in formato Apk, ma sotto forma di software famosi come Adobe Flash Player o un’altra app apparentemente legittima come Android Update o Adobe Update. L’unico scopo di questa operazione è permettere al virus di attivare il quarto e ultimo stadio di infezioni, ottenendo l’autorizzazione da parte dell’utente.

Vengono così installati malware aggiuntivi come una versione del trojan Mazar Bot, un trojan bancario e uno spyware. ESET ha già provveduto ad avvertire Google, che ha rimosso le app dallo store.